Test di perdita DNS: come verificare la presenza di perdite DNS e come risolverle
La tua VPN può mostrare un IP pulito in un altro paese, mentre allo stesso tempo invia silenziosamente al tuo provider internet un elenco di tutti i siti che hai visitato. Questa falla ha un nome: perdita DNS. Il lucchetto sembra chiuso, il traffico sembra privato, eppure le query che trasformano un nome di dominio in un indirizzo IP fuoriescono dalla porta laterale in chiaro. Un rapido test per le perdite DNS è l'unico modo per sapere se ti sta succedendo, e la maggior parte delle persone che lo eseguono per la prima volta rimane sorpresa dai risultati.
Questa guida spiega cos'è una perdita DNS, come verificarne la presenza in circa trenta secondi, come risolvere la causa del problema e perché la posta in gioco è più alta se si possiedono criptovalute. Quest'ultimo aspetto è un dettaglio che quasi nessuna altra guida si preoccupa di approfondire.
Cos'è una perdita DNS e cosa viene rilasciato
Pensate al Domain Name System come all'elenco telefonico di Internet. Digitate un nome di dominio, il vostro dispositivo invia una piccola richiesta DNS e un server DNS restituisce l' indirizzo IP corrispondente. Abbastanza semplice. La falla si verifica quando quella ricerca si discosta dal percorso previsto. Invece di utilizzare il tunnel VPN crittografato per raggiungere il resolver della VPN stessa, la query viene inviata al server DNS del vostro ISP, solitamente in chiaro.
Nel senso cinematografico del termine, non viene "rubato" nulla. Ciò che viene divulgato sono i metadati: l'elenco ordinato dei siti che hai tentato di visitare, associato al tuo vero indirizzo IP. E questo è più che sufficiente. Utilizzando il DNS in questo modo, il tuo ISP non deve mai leggere un singolo byte del tuo traffico effettivo per sapere che hai aperto un particolare exchange, un servizio di wallet o una pagina di notizie alle 11:47 di martedì. Ogni volta che visiti un sito web, la ricerca deve risolversi da qualche parte, e il problema sta proprio in quel "qualche parte". Ecco la parte scomoda: la divulgazione di questi dati è più vicina all'impostazione predefinita del web che a un raro malfunzionamento. A febbraio 2026, circa l'86,6% delle query DNS a livello mondiale attraversava ancora la rete in chiaro, senza crittografia UDP, secondo Cloudflare Radar . Il DNS crittografato è l'eccezione, non la regola.
Come si verifica una perdita DNS: IPv6, WebRTC, router
La maggior parte delle fughe di dati non sono dovute ad attacchi sofisticati. Si tratta di comportamenti ordinari del sistema operativo che la VPN non è mai riuscita a sovrascrivere completamente. Tre cause sono responsabili della grande maggioranza dei test falliti.
IPv6 e la perdita che la tua VPN ha dimenticato
Questo è il campione silenzioso delle fughe DNS. Molte VPN sono state progettate per incapsulare IPv4 e considerare IPv6 un problema di qualcun altro. Quindi, se il sistema operativo ha IPv6 abilitato e la VPN utilizza solo IPv4, le query DNS IPv6 escono indisturbate dal tunnel. E non si tratta di un'ipotesi. Uno studio del 2025, sottoposto a revisione paritaria e condotto da Cho e Heidemann all'ACM IMC, ha rilevato che 12 VPN commerciali presentavano perdite di traffico IPv6 per una percentuale di utenti IPv4 compresa tra il 5% e il 57%, come pubblicato nel loro articolo all'IMC 2025. Anni di "protezione dalle fughe IPv6" sulla confezione, eppure la perdita è ancora lì, nei dati.
Dirottamento DNS trasparente da parte del tuo ISP
Alcuni ISP intercettano qualsiasi richiesta DNS in uscita dalla rete sulla porta 53 e la instradano attraverso il proprio resolver, indipendentemente dal server impostato. Questo è un dirottamento DNS trasparente. Eseguendo un test di perdita di pacchetti, si noterà che il resolver dell'ISP è attivo anche se ne è stato configurato uno diverso. Windows peggiora la situazione in due modi specifici: Smart Multi-Homed Name Resolution (SMHNR), che invia query DNS contemporaneamente da tutte le schede di rete, e Teredo, un servizio di tunneling IPv6 che apre silenziosamente un secondo percorso aggirando la VPN.
Perdite di dati nel browser e in WebRTC
WebRTC è la funzionalità del browser alla base delle chiamate audio e video in tempo reale. Utile, ma può anche esporre il tuo IP locale e pubblico tramite richieste di connessione diretta, bypassando completamente il DNS. A rigor di termini, questo non è una perdita di DNS. Un buon test per le perdite di DNS lo verifica comunque, perché il risultato è identico: il tuo vero indirizzo IP viene visualizzato. Quanto è diffuso questo problema? Uno studio del 2016, ancora citato, condotto dal CSIRO e dalla Macquarie University su 283 app VPN per Android, ha rilevato che il 66% di esse presentava perdite di traffico DNS e l'84% non instradava mai IPv6 attraverso il tunnel, come documentato negli atti dell'ACM IMC 2016. Nove anni dopo, nessuno è riuscito a ribaltare questi dati.
Come eseguire un test gratuito di perdita DNS e interpretarne i risultati.
Eseguire il test è la parte facile. È la lettura dei risultati che spesso crea difficoltà. Collega la tua VPN, apri una pagina gratuita per il test delle perdite DNS nel tuo browser ed esegui sia il test standard che quello esteso. Dopo pochi secondi otterrai un elenco dei resolver DNS che hanno risposto, ognuno con il relativo proprietario e la posizione. Ora l'unica domanda che conta è: questi resolver appartengono alla tua VPN, al tuo provider di servizi Internet o a Google?
Esegui il test due volte. Fai il test di perdita DNS una volta con la VPN disattivata, così saprai come appare il tuo resolver DNS senza VPN, e poi di nuovo con la VPN attiva. Se in entrambi i test viene visualizzato lo stesso server DNS del tuo provider, allora la perdita è evidente. Se invece viene visualizzato solo il resolver della VPN quando sei connesso, allora il DNS è a posto, almeno fino al prossimo riavvio.
| Cosa mostra il test | Verdetto | Cosa fare |
|---|---|---|
| Solo i server DNS della tua VPN | Nessuna perdita | Tutto a posto; esegui nuovamente il test dopo gli aggiornamenti. |
| Il resolver del tuo ISP appare | perdita DNS | Risolvi il problema indicato di seguito prima di fidarti del tunnel. |
| Google o un resolver di terze parti che non hai impostato | Perdita parziale | Imposta manualmente il DNS; controlla la configurazione del router. |
| Server IPv6 diverso da quello IPv4 | Perdita di IPv6 | Disabilita IPv6 o usa una VPN che lo tunnelizza |
| Il tuo vero indirizzo IP visualizzato in un campo WebRTC | Perdita di WebRTC | Disabilita WebRTC nel browser. |
Perché le fughe DNS sono importanti per la privacy delle criptovalute
Ecco la parte che i siti di recensioni sulle VPN omettono. Per un utente di criptovalute, una perdita DNS è peggiore che per una persona media, perché colma l'unica lacuna che la sorveglianza on-chain non può colmare da sola: il collegamento tra la tua identità di rete e il tuo portafoglio.
Collegamento del tuo indirizzo IP a un portafoglio
Le società di analisi blockchain sono molto brave a raggruppare gli indirizzi e a tracciare i fondi. Ciò che non riescono a fare facilmente è associare una persona reale a un indirizzo senza un indizio off-chain. Una perdita DNS è proprio quell'indizio. Se il tuo dispositivo perde ricerche verso domini di wallet, siti di block explorer o endpoint RPC dei nodi, e queste query contengono il tuo vero IP con un timestamp, un osservatore può correlare la traccia di rete con l'attività on-chain che si verifica nello stesso momento.
Correlazione tra accessi alla piattaforma di scambio e procedure KYC
Questo è il punto più critico. Quando accedi a un exchange centralizzato, il tuo dispositivo cerca il dominio di quell'exchange. Se la ricerca giunge al tuo ISP, viene registrata con il tuo vero IP. Il tuo exchange possiede già la tua identità verificata tramite KYC. Ora una terza parte può collegare quell'identità a una sessione che la VPN avrebbe dovuto nascondere . Il settore dell'analisi blockchain, che acquista ed elabora questo tipo di correlazione, valeva 2,99 miliardi di dollari nel 2025 e si prevede che crescerà del 22% all'anno, mentre Chainalysis ha contato 154 miliardi di dollari di volume illecito di criptovalute nel 2025, nel suo 2026 Crypto Crime Report : un mercato con forti incentivi a collegare ogni singolo punto disponibile.
Cosa rivela una traccia DNS su di te
Anche senza conoscere il contenuto del tuo traffico, l'elenco ordinato dei domini che risolvi rappresenta un'impronta digitale comportamentale. Quale exchange, quale wallet, quale front-end DeFi, in quale sequenza, a che ora. Le autorità di regolamentazione statunitensi hanno confermato l'interesse per questi dati: un rapporto del personale della FTC del 2021 ha rilevato che tutti e sei i principali ISP americani registravano query DNS e dati di navigazione, nel suo rapporto sulla raccolta dati da parte degli ISP . A onor del vero, nessun caso giudiziario pubblico ha ancora attribuito la deanonimizzazione delle criptovalute a una sola fuga di DNS. La capacità è ben documentata; la prova schiacciante non lo è. Non ci conterei.
Come prevenire le perdite DNS su ogni dispositivo
Buone notizie: la soluzione è un menu breve, non una maratona. Abbina la leva a ciò che il test ha effettivamente mostrato, invece di azionarle tutte e sei per paranoia. In pratica, alla maggior parte delle persone ne bastano due, forse tre.
Risolvi le perdite DNS su Windows e macOS
Su Windows, i colpevoli più comuni sono Smart Multi-Homed Name Resolution e l'adattatore Teredo. Disattivali entrambi. Quindi, assegna un server DNS statico all'adattatore di rete attivo. Su macOS, la procedura è più semplice: imposta manualmente il DNS nelle impostazioni di rete, quindi svuota la cache con `sudo dscacheutil -flushcache`. In entrambi i casi, riconnettiti ed esegui nuovamente il test di perdita DNS. L'elenco dei resolver mostra solo la tua VPN? Fatto. Se il server del tuo vecchio provider di servizi Internet è ancora presente, la perdita proviene da un punto più in basso nella catena di server.
Proteggi il tuo router e IPv6
La tua VPN si rifiuta di instradare IPv6? Allora disattiva IPv6 a livello di sistema operativo, in modo che non ci sia una seconda via per le query. E non dimenticare il router. Quando il router stesso punta ancora al DNS del tuo ISP, la perdita si sposta semplicemente di un hop a monte e la tua soluzione a livello di dispositivo nasconde silenziosamente il vero problema. Configura il router in modo che utilizzi un resolver di cui ti fidi e ogni telefono, laptop e console collegato ad esso erediterà automaticamente questa impostazione.
Impostazioni VPN e protezione dalle fughe DNS
Apri il tuo client VPN e controlla tre impostazioni: se utilizza server DNS proprietari, se la protezione dalle perdite DNS è attiva e se il kill switch è attivo. Le ultime due non sono la stessa cosa, e questo è un errore comune. Il kill switch interrompe immediatamente il traffico non appena il tunnel crittografato si disconnette. La protezione dalle perdite DNS, invece, reindirizza le tue richieste attraverso il tunnel finché è ancora attivo. Ti servono entrambe. E ti consiglio di controllarle attentamente, perché "sicuro per impostazione predefinita" è uno slogan di marketing, non una promessa.
| Causa | Ciò che vedi nel test | Aggiustare | Dove |
|---|---|---|---|
| Perdita di IPv6 | Il resolver IPv6 differisce da quello IPv4 | Disabilitare IPv6 o passare alla VPN | Sistema operativo / VPN |
| Dirottamento del provider di servizi Internet | Risolutore ISP nonostante DNS manuale | Imposta DNS crittografato (DoH o DoT) | Sistema operativo / router |
| Windows SMHNR o Teredo | Risolutori multipli, uno dei quali è un ISP | Disabilitare SMHNR e Teredo | Windows |
| Router che utilizza il DNS dell'ISP | Stessa perdita su ogni dispositivo | Impostare manualmente il DNS del router | Router |
| Esposizione a WebRTC | Indirizzo IP reale in un campo WebRTC | Disabilita WebRTC | Sito web |
Scegliere un server DNS che non perda
Superare un test di perdita DNS è solo metà dell'opera. La posizione del resolver è importante quanto il tunnel stesso, perché un provider DNS che registra i dati di navigazione è comunque un sistema di sorveglianza, anche se con un logo più accattivante. Cloudflare utilizza 1.1.1.1, Quad9 utilizza 9.9.9.9, Google utilizza 8.8.8.8. Stesso lavoro, ma politiche di registrazione molto diverse. Quindi, leggetele attentamente. Scegliere il provider consigliato da un forum è esattamente il modo in cui le persone finiscono per essere "senza perdite" ma comunque tracciate.
Quindi crittografa la ricerca stessa. DNS over HTTPS (DoH) e DNS over TLS (DoT) incapsulano entrambi la query in modo che il tuo ISP non possa leggerla o intercettarla durante il transito. Quasi nessuno si preoccupa, però. I trasporti crittografati gestivano solo circa l'11,3% delle query DNS all'inizio del 2026, e la convalida DNSSEC end-to-end si è attestata a un errore di arrotondamento, lo 0,47%, nel primo trimestre. Un'impostazione. Cambiala, e ti unisci silenziosamente a una piccola minoranza molto meglio protetta.
La tua VPN blocca davvero le fughe DNS?
Considerate la casella di controllo "Protezione dalle perdite DNS" come un'affermazione, non come una garanzia. I tassi di perdita DNS di riferimento del 2016 continuano a ripresentarsi nelle nuove ricerche del 2025, il che significa che il problema è intrinseco al modo in cui questi client sono progettati, non qualcosa che il settore ha risolto silenziosamente. L'uso delle VPN è comune, ma tutt'altro che universale: il 32% degli adulti statunitensi ha dichiarato di utilizzarne una nel 2025, in netto calo rispetto al 46% dell'anno precedente, secondo Security.org. Quindi la regola è banale, ma funziona. Eseguite un test di perdita DNS il giorno in cui installate una VPN, di nuovo dopo ogni aggiornamento importante del sistema operativo e ogni volta che il client si riconnette automaticamente alle 3 del mattino mentre non state guardando.
Cosa fare ora riguardo al test di perdita DNS
Una VPN che lascia passare il DNS è uno strumento per la privacy che mente spudoratamente, e l'unico modo per smascherarla è osservare attentamente. Quindi, osservate. Eseguite il test ora, due volte, con VPN disattivata e VPN attivata. Risolvete la causa che si è effettivamente manifestata, indirizzate il vostro dispositivo verso un resolver crittografato di cui vi siete presi la briga di leggere le policy, e ripetete il test dopo il prossimo aggiornamento. Se gestite criptovalute, considerate il percorso DNS come parte integrante del vostro modello di minaccia, non come un elemento secondario, perché in questo caso una perdita di dati viene misurata in base alle identità collegate, non solo alla cronologia di navigazione. Una domanda su cui vale la pena riflettere: se la vostra configurazione ha presentato perdite di dati per tutto questo tempo, cosa ha già registrato il vostro provider di servizi Internet?
